09 noviembre 2010

Un vistazo a ClamAV, alternativa OpenSource en el mundo antivirus

Aunque el objetivo de esta entrada es hablar del soporte RT (Real Time) para ClamAV, es conveniente antes hacer un repaso de la historia de ClamAV y de sus posibilidades actuales.

ClamAV es un AV diseñado originalmente para inspeccionar el correo en los servidores SMTP de plataformas *nix. Consta de un demonio multihilo, escáner de línea de comandos y sistema de actualización automático. Está licenciado bajo GPL y el motor viene en forma de librería compartida.

Incorpora soporte para formatos de compresión y ejecutables (ELF, PE) tanto comprimidos con packers como ofuscados. También soporta documentos PDF, RTF, HTML y de Microsoft Office; y su BBDD se actualiza varias veces al día.

Se puede utilizar tanto mediante peticiones de escaneo de ficheros al demonio, como bajo demanda utilizando el escáner de línea de comandos.

El proyecto ClamAV lo lidera la empresa Sourcefire, la cual se dedica a desarrollar soluciones de seguridad tanto hardware como software. Otro importante proyecto de software libre que mantiene es el conocido NIDS Snort.

Aunque inicialmente ClamAV se utilizó en servidores SMTP *nix, poco a poco se ha ido ampliando su uso hacia máquinas de escritorio. Con ClamWin y el reciente ClamAV para Windows 2.0 se ha conseguido este objetivo.

Yago Jesus implementó funcionalidad RT en ClamWin y nos explicó cómo utilizarlo. Pero actualmente ha abandonado el proyecto debido a que ClamAV para Windows 2.0 tiene soporte de forma nativa. También tenemos como alternativa utilizar ClamWin con Clam Sentinel.

CLAMWIN

ClamWin es un front end gráfico para ClamAV que incorpora características como:

  • Escaneo bajo demanda.
  • Actualizaciones automáticas.
  • Planificación de escaneos.
  • Integración con Explorer y Outlook.

Es importante recalcar que no incorpora funcionalidad 'on access'. Es necesario utilizar software adicional como Clam Sentinel o Winpooch (obsoleto). También hay disponibles plugins de Firefox para escanear los ficheros descargados con el navegador.

Sobre Clam Sentinel, a parte de la funcionalidad de RT previamente comentada, también es interesante decir que incorpora más posibilidades:

  • Escaneo de memoria
  • Sitúa los ficheros infectados en el directorio de cuarentena de ClamWin
  • Registra la actividad de los escaneos en logs.
  • Se puede indicar las rutas y ficheros a no escanear (lista blanca), número simultáneo de escaneos y tamaño máximo de ficheros de log.
  • PUA (Potentially Unwanted Applications): no identifica los virus actuales conocidos; sino aplicaciones que se utilizan para evadir las firmas de malware (por ejemplo, packers) o aplicaciones legítimas que las han utilizado. También scripts [Javascript, ActiveX, etc], snifers, recuperadores de contraseñas, herramientas de control remoto, keyloggers, etc.
  • Monitor System: monitoriza el sistema (ficheros nuevos, entradas de registro nuevas, etc) para encontrar malware no conocido. Lo deben activar personas más concienciadas y que previamente contrasten con otros AV instalados o de forma online (por ejemplo VirusTotal) si los ficheros sobre los que Clam Sentinel nos avisa son realmente malware. En caso contrario no remitir a ClamWin, porque sería un falso positivo y conlleva un trabajo extra de verificación innecesario por su parte. Para evitar avisos por parte de software legítimo, es conveniente situarlo en la lista blanca.

Para comprobar si funciona correctamente la funcionalidad 'on-access' de Clam Sentinel, podemos pinchar un USB o bajar el fichero EICAR. Para que Clam Sentinel detecte el fichero .txt, hace falta añadir la extensión desde las opciones de configuración.

Es interesante la opción de instalar Clam Sentinel junto con ClamWin portable, de forma que podemos llevarlo en nuestro USB.

Es importante recalcar que tanto ClamAV como ClamWin están licenciados bajo GPL.

CLAMAV FOR WINDOWS

ClamAV para Windows 2.0 es un proyecto conjunto de ClamAV e Immunet, donde ClamAV es el motor AV e Immunet ha implementado la GUI y la capacidad cloud. Es una solución AV que incorpora características propias de soluciones comerciales: on-access, on-demand, cuarentena y borrado de ficheros, motor de protección basado en Cloud, protección basada en Community y planificación de escaneos.

Al estar basado en Cloud el escaneo bajo demanda, ClamAV no está físicamente instalado en la máquina, sino en la nube. Normalmente se envía el hash SHA del PE, pero en algunas situaciones concretas el fichero entero será subido a la nube. Los desarrolladores de ClamAV para Windows tienen pensado incluir funcionalidades cloud en la versión *nix de ClamAV.

La funcionalidad 'on-access' sólo está disponible para ejecutables PE, y no para otros formatos de ficheros como PDF HTML, RTF y ofimática. Más adelante, ClamAV para Windows versión 3..0 incorporará el escáner bajo demanda para detectar los comentados formatos. Es decir, incorporará el motor de detección LibClamAV y Freshclam (para las actualizaciones) que se instalarán de forma local.

Digna de destacar la funcionalidad Community, donde cada vez que alguien de la comunidad encuentra un amenaza, todos los demás son informados y ganan en protección de esa misma amenaza en tiempo real. No estás aislado como en las soluciones tradicionales. También muestra gráficos de la comunidad de usuarios ClamAV a la que perteneces.

Por último comentar la existencia de ClamAV for Windows Plus. Es un sotware de pago que contiene características adicionales (escaneo offline, escaneo de BBDD de correos, etc), donde el coste del mismo se utiliza para mantener la infraestructura cloud.


Información sobre ClamAV para Windows:


Guías de usuario de Clam Sentinel:


------

Artículo cortesía de David Montero http://damontero.wordpress.com

5 comments :

dynclient dijo...

Si alguien está interesado en trabajar en Clam Sentinel para una traducción del programa en español:

descargar el fichero

http://clamsentinel.cvs.sourceforge.net/viewvc/clamsentinel/ClamSentinel/Languages.txt?revision=1.2

traducirlo y enviarlo a dynclient@users.sourceforge.net

Anónimo dijo...

Los "Potentially Unwanted Applications" (PUA) lo único que hacer es crear desconcierto. Mirad sino en Virustotal cualquier fichero empaquetado con Asprotect y Themida. Señores de ClamAV, infinidad de aplicaciones no-malware, empaquetan su código, no déis alertas porque no tenéis medios para desempaquetarlos!

dynclient dijo...

La opción de PUA no es lo que se indica en el artículo. Estos son:

http://www.av-comparatives.org/comparativesreviews/pua-tests

y tiene una firma muy específicas.

damontero dijo...

Hola dynclient,

en el artículo se habla de PUA aplicado a Clam Sentinel, y en ese contexto sí que tiene el significado comentado. Te recomiendo que te leas la primera guía de usuario de las dos indicadas.


Saludos :)

dynclient dijo...

La opción de PUA no es lo que se indica en el artículo. Estos son:

http://www.av-comparatives.org/comparativesreviews/pua-tests

y tiene una firma muy específicas.